Virus.Script.MBP.Kynel

Jest to pierwszy znany wirus infekuj膮cy tabele systemu MapInfo. Aktywuje si臋 po otwarciu zainfekowanej tabeli i atakuje 艣rodowisko MapInfo oraz wszystkie aktywowane w nim tabelami. Szkodnik wyposa偶ony jest w funkcj臋 dodatkow膮, kt贸ra w zale偶no艣ci od daty systemowej niszczy pliki przechowuj膮ce tabele.

Co to jest MapInfo?

MapInfo jest jednym z najwi臋kszych na 艣wiecie rozwi膮za艅 programowych s艂u偶膮cych do obs艂ugi geograficznych baz danych. Producentem systemu jest firma MapInfo Corporation. MapInfo oferuje j臋zyk programowania MapBasic pozwalaj膮cy na tworzenie w艂asnych aplikacji dzia艂aj膮cych w ramach systemu. Z punktu widzenia sk艂adni j臋zyk ten jest bardzo zbli偶ony do Microsoft Visual Basic, jednak zosta艂 wzbogacony o funkcje s艂u偶膮ce do obs艂ugi tabel oraz map.

Informacje dotycz膮ce wirusa

Wirus powsta艂 przy u偶yciu j臋zyka programowania MapBasic i zosta艂 skompilowany do postaci aplikacji binarnej, dzia艂aj膮cej w 艣rodowisku MapInfo. Po uruchomieniu zainfekowanej tabeli szkodnik przejmuje kontrol臋 i atakuje ca艂e 艣rodowisko. W tym celu wirus kopiuje si臋 z nazw膮 0gPiSs1.dll do folderu, w kt贸rym zainstalowano system MapInfo.

Podczas swojej aktywno艣ci wirus kolekcjonuje nazwy otwartych tabel w celu p贸藕niejszego ich wykorzystania.

W momencie zamykania systemu MapInfo szkodnik sprawdza dat臋 systemow膮. W poniedzia艂ki uruchamiana jest pierwsza funkcja dodatkowa - wirus kataloguje zgromadzone nazwy tabel i z prawdopodobie艅stwem 1% usuwa pliki posiadaj膮ce nast臋puj膮ce rozszerzenia: MAP, TIF, PCX oraz JPG.

Druga funkcja dodatkowa jest uruchomiona w pi膮tki przypadaj膮ce na 13 dzie艅 miesi膮ca. Dzia艂a identycznie jak pierwsza, lecz pliki usuwane s膮 z prawdopodobie艅stwem 14%. Dodatkowo funkcja ta nadpisuje plik mapinfow.prj nast臋puj膮cym tekstem (kodowanie KOI-8R):

"--- 毛IIO脛脡脦脕脭U ---"
"盲II脟I脭脕 / u脡OI脭脕", 3, 62, 
8, -74, 40.5, 40.6666666667, 
41.0333333333, 2000000, 100000.

Je偶eli uruchomienie jednej z funkcji dodatkowych nie powiedzie si臋 szkodnik infekuje wszystkie skatalogowane tabele.